Sensibilisation cybersécurité dans les ETI : un marché à part

Les entreprises de taille intermédiaire — ETI, entre 250 et 5 000 salariés — occupent une position particulière dans le paysage cybersécurité. Trop grandes pour ignorer le sujet, pas toujours assez structurées pour se doter des équipes des grands groupes, elles concentrent une part importante du tissu économique français. Et elles font face à des défis spécifiques en matière de sensibilisation.

Un risque cyber sous-évalué

Plusieurs facteurs concourent à exposer les ETI :

• moyens cyber intermédiaires (pas forcément un RSSI à plein temps),
• forte attractivité pour les attaquants (chiffre d'affaires significatif, capacité à payer une rançon),
• chaîne de valeur sensible (souvent intégrées comme fournisseurs critiques de grands groupes),
• culture parfois encore proche de la PME (proximité, agilité… mais aussi informalité dans les processus).

C'est précisément le sujet abordé par Conscio Technologies dans Sensibilisation cybersécurité et ETI.

Les contraintes spécifiques

Pas de RSSI temps plein dans toutes

Beaucoup d'ETI ont un RSSI à temps partiel, un DSI cumulant les rôles, ou un RSSI mutualisé avec une fonction qualité ou risque.

Une équipe cyber réduite

1 à 5 personnes, souvent absorbées par l'opérationnel.

Pas de "service communication interne" dédié

La communication de la cybersécurité repose sur des moyens limités.

Une culture parfois "familiale"

Avec une informalité dans les processus qui peut être un atout… ou un risque.

L'opportunité : une culture cyber plus rapide à diffuser

L'avantage des ETI : leur taille humaine permet de diffuser une culture plus vite qu'un grand groupe :

• décisions plus rapides,
• proximité directe entre dirigeants et terrain,
• communautés professionnelles plus visibles,
• récits internes mieux partagés.

Une démarche bien conçue peut produire des résultats visibles en quelques mois, là où un grand groupe met deux ans.

Quatre leviers pour une démarche ETI réussie

1. Sponsoring fort de la direction

Sans le DG ou la direction générale comme sponsor visible, le programme ne décollera pas. C'est encore plus vrai en ETI qu'en grand groupe.

2. Une plateforme adaptée

Choisir une plateforme avec un faible coût d'entrée (par utilisateur), simple à déployer, paramétrable sans expertise technique lourde. La plateforme SensiWave propose une offre pensée pour les ETI.

3. Une approche par les usages

Plutôt qu'une bibliothèque de 100 modules, 5 à 10 parcours bien ciblés suffisent en ETI :

• accueil de nouveau,
• comptabilité et achats,
• managers,
• direction,
• équipes IT.

4. Une mesure simple mais réelle

Trois indicateurs valent mieux que vingt :

• taux de signalement,
• adoption du MFA et des bons mots de passe,
• progression mesurable des comportements dans le temps.

Voir notre article Mesurer l'impact d'une sensibilisation.

NIS2 et ETI

NIS2 abaisse les seuils et inclut désormais massivement les ETI dans son périmètre. Beaucoup d'entre elles relèvent désormais de la catégorie "entités importantes" (parfois "entités essentielles"). Cela transforme la sensibilisation en obligation traçable.

Voir notre article NIS2 et devoir de diligence.

Les ETI comme cibles "supply chain"

Une ETI peut être attaquée non pour elle-même, mais comme point d'entrée vers un grand donneur d'ordre. C'est désormais l'un des modes opératoires les plus fréquents.

Conséquence : les grands comptes contrôlent la maturité cyber de leurs fournisseurs (audits, questionnaires, parfois assessment CyberVadis ou équivalent). Démontrer une démarche de sensibilisation structurée devient un argument commercial.

Conclusion

Les ETI ont, en 2026, tout intérêt à structurer leur démarche de sensibilisation cybersécurité. Les obstacles sont réels, mais les leviers le sont aussi : taille humaine, sponsoring direct, agilité décisionnelle. Pour explorer plus en détail le sujet, voir Sensibilisation cybersécurité et ETI.

---